Plan seg inf
-
Upload
bryan-villarruel -
Category
Documents
-
view
247 -
download
2
description
Transcript of Plan seg inf
Tabla de contenido
Presentación del documento.
Dirección de Tecnología del Ministerio del Interior.
Misión:
“Planear y ejecutar proyectos y procesos de Tecnologías de la Información (TI)
para la aplicación de políticas públicas y mejora de la gestión institucional y de
los servicios a la ciudadanía, así como garantizar la operación de los sistemas
y servicios informáticos, gestionar la seguridad informática, brindar soporte
técnico en herramientas, aplicaciones, sistemas y servicios informáticos de la
Institución, e implementar la interoperabilidad con otras Entidades”.
Objetivos Homologados:
Incrementar la alineación estratégica de TI a los planes institucionales y
gubernamentales mediante la alineación del plan estratégico de TI,
creando los proyectos y programan que optimicen recursos, mitiguen los
riesgos y generen servicios confiables.
Incrementar la calidad de los servicios de TI, mediante la identificación
de las necesidades de la Institución, brindando soluciones óptimas y
eficientes que brinden el nivel de servicio planificado y acordado.
Incrementar la capacidad de los procesos de Gobierno y Gestión de TI,
mediante la integración del plan estratégico y riesgos de TI, con la
Institución, manteniendo la disponibilidad de la Información y
disminuyendo el impacto de los incidentes de seguridad.
Incrementar las capacidades y eficiencia del Talento Humano y los
recursos financieros de TI, mediante la optimización de las necesidades
de la Institución, proveyendo eficiencia en los costos y en el valor de las
soluciones y servicios con personal calificado, alineado a los objetivos
Institucionales.
1. Alcance.
Para la gestión de proyectos y procesos de Tecnologías de la Información (TI)
de la Dirección de Tecnología del Ministerio del Interior, es necesario el uso de
sistemas de la información, servicios informáticos e información almacenada en
servidores y archivos planos físicos.
El SIGSI puede regularizar y controlar todo aspecto concerniente al uso de los
mismos a fin de mantener las operaciones lo más seguras posibles sin
impactar el nivel de servicio y la continuidad de las operaciones.
El alcance del SIGSI de la Dirección de Tecnología del Ministerio del Interior es
delimitado de la siguiente manera:
Servicios implicados.
Procesos de alineación estratégica de TI a los planes institucionales y
gubernamentales mediante la alineación del plan estratégico de TI, creando los
proyectos y programan que optimicen recursos, mitiguen los riesgos y generen
servicios confiables.
Procesos de calidad de los servicios de TI, mediante la identificación de las
necesidades de la Institución, brindando soluciones óptimas y eficientes que
brinden el nivel de servicio planificado y acordado.
Procesos de Gobierno y Gestión de TI, mediante la integración del plan
estratégico y riesgos de TI, con la Institución, manteniendo la disponibilidad de
la Información y disminuyendo el impacto de los incidentes de seguridad.
Procesos de incrementar las capacidades y eficiencia del Talento Humano y los
recursos financieros de TI, mediante la optimización de las necesidades de la
Institución, proveyendo eficiencia en los costos y en el valor de las soluciones y
servicios con personal calificado, alineado a los objetivos Institucionales.
Localizaciones físicas.
El SIGSI está delimitado y es aplicable a la Dirección de Tecnología del
Ministerio del Interior ubicado en el segundo piso en las Calles Benalcázar N4-
24 entre Chile y Espejo – Quito – Ecuador.
Sistemas de Información.
Sistema de consulta de antecedentes penales.
SITMIN (Sistema Integrado del Ministerio del Interior).
Sistema de monitoreo por GPS.
Sistema de botón de seguridad.
Sistema de Gestión de Mantenimiento de UPC.
Sistema de Reclutamiento Policial.
Correo electrónico institucional.
Servicio Internet. (Permisos de navegación, Firewall, Proxy, NAT, APs).
Sistemas y aplicativos en equipos de cómputo de los diferentes
departamentos.
2. Caracterización del Sistema Informático.
Determinación de Activos:
Los activos que intervienen en el área de tecnología del Ministerio del Interior
son los siguientes:
Tipo de Activo Activo
Servicios Servicio de Internet. (Permisos de
navegación, Firewall, Proxy, NAT, APs). Correo Electrónico Institucional
Servicio de carpetas compartidas
Datos Datos de Gestión Interna
Datos de Carácter Personal Repositorio de información, archivos compartidos por red
Aplicaciones Software Utilitario Sistemas Operativos
Sistema de consulta de antecedentes penales SITMIN (Sistema Integrado del
Ministerio del Interior) Sistema de monitoreo por GPS Sistema de registro de botón de
seguridad Sistema de Gestión de Mantenimiento de UPC
Sistema de Reclutamiento Policial
Equipos Informáticos Informática Personal
Periféricos Soporte de Red
Redes de Comunicaciones Central Telefónica Equipos de Acceso a Internet Equipos DATA CENTER
Personal Área de Soporte Técnico Área Infraestructura de Red
Área Desarrollo de Software Dirección de Tecnología
Determinación de Activos Esquema de redes e infraestructura:
CNT
SYS ACT POE Cisco 1900 Series
FIREWALLFortiGate 600C
Packetshaper 3500172.16.0.249
Topología Ministerio del Interior
ROUTER CNTCisco 1900 series
DATOS E INTERNET
ENLACES A
DEPNDENCIAS
FortiGate 600C
MGMT 1 / MGMT 2
STATUS
POWE R
ALARM
HA
WAN 1 / 1 WAN 1 / 2 3 / 4 5 / 6 7 / 8 9 / 10 11 / 12 13 / 14 15 / 16 17 / 18 19 / 20 21 / 22 19 / 20 21 / 22CONS OLEUSB MGMTUS B
SHARED INTERFACES
Página 1
Topología de Redlunes, 19 de enero de 2015
1.7 in.
WS-C6504-E
1
2
3
4FAN-MOD-4HS
FAN
STATUS
SUPERVISOR 720 WITH INTEGRATED SWITCH FABRIC/PFC3
USB
CONSOLE
LINK LINK LINK
10/100/1000
3
UPLINK
SFP
21
EJECT
DISK 0
RESETSTATUS SYSTEM ACTIVE XXXX
VS-S720-10G
CONFIGURED ID:VS-S720-10G-3CXL
10GE UPLINK
4 5
STATUS PHONE
WS-X6548-GE-TX47
48
37
38
35
36
25
26
23
24
13
14
11
12
1
2
4 8 P O R T
12119 107 85 63 41 2 242321 2219 2017 1815 1613 14 363533 3431 3229 3027 2825 26 484745 4643 4441 4239 4037 38
10/100/1000 BASE-T
ETHERNETSWITCHING MODULE
STATU
S
WS-X6516A-GBIC
LINK
1 2LIN
KLIN
K
3 4LIN
KLIN
K
5 6LIN
KLIN
K
7 8LIN
KLIN
K
9 10LIN
KLIN
K
11 12LIN
KLIN
K
13 14LIN
KLIN
K
15 16LIN
K
3
4
1
2
5
6
7
8
9
10
11
12
13
14
15
16
1.7 in.
WS-C6504-E
1
2
3
4FAN-MOD-4HS
FAN
STATUS
SUPERVISOR 720 WITH INTEGRATED SWITCH FABRIC/PFC3
USB
CONSOLE
LINK LINK LINK
10/100/1000
3
UPLINK
SFP
21
EJECT
DISK 0
RESETSTATUS SYSTEM ACTIVE XXXX
VS-S720-10G
CONFIGURED ID:VS-S720-10G-3CXL
10GE UPLINK
4 5
STATUS PHONE
WS-X6548-GE-TX47
48
37
38
35
36
25
26
23
24
13
14
11
12
1
2
4 8 P O R T
12119 107 85 63 41 2 242321 2219 2017 1815 1613 14 363533 3431 3229 3027 2825 26 484745 4643 4441 4239 4037 38
10/100/1000 BASE-T
ETHERNETSWITCHING MODULE
STATU
S
WS-X6516A-GBIC
LINK
1 2LIN
KLIN
K
3 4LIN
KLIN
K
5 6LIN
KLIN
K
7 8LIN
KLIN
K
9 10LIN
KLIN
K
11 12LIN
KLIN
K
13 14LIN
KLIN
K
15 16LIN
K
3
4
1
2
5
6
7
8
9
10
11
12
13
14
15
16
Fa 0/46
VLAN 1
Catalyst 2960-S Series PoE+ 10G
MGMT
BASET
CONSOLE
37X
38X
47X
48X
37 38 39 40 41 42 43 44 45 46 47 48
25X
26X
35X
36X
25 26 27 28 29 30 31 32 33 34 35 36
13X
14X
23X
24X
13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12
PoE
STCK
SPED
DPLX
STAT
MSTR
RPS
SYST
MODE
1X
2X
11X
12X
POWER OVER ETHERNET 740W1 2SFP+
Catalyst 2960-S Series PoE+ 10G
MGMT
BASET
CONSOLE
PoE
STCK
SPED
DPLX
STAT
MSTR
RPS
SYST
MODE1 2SFP+
13X
14X
23X
24X
13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12
1X
2X
11X
12X
Catalyst 2960-S Series PoE+ 10G
MGMT
BASET
CONSOLE
PoE
STCK
SPED
DPLX
STAT
MSTR
RPS
SYST
MODE1 2SFP+
13X
14X
23X
24X
13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12
1X
2X
11X
12X
Catalyst 2960-S Series PoE+ 10G
MGMT
BASET
CONSOLE
PoE
STCK
SPED
DPLX
STAT
MSTR
RPS
SYST
MODE1 2SFP+
13X
14X
23X
24X
13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12
1X
2X
11X
12X
Catalyst 2960-S Series PoE+ 10G
MGMT
BASET
CONSOLE
37X
38X
47X
48X
37 38 39 40 41 42 43 44 45 46 47 48
25X
26X
35X
36X
25 26 27 28 29 30 31 32 33 34 35 36
13X
14X
23X
24X
13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12
PoE
STCK
SPED
DPLX
STAT
MSTR
RPS
SYST
MODE
1X
2X
11X
12X
POWER OVER ETHERNET 740W1 2SFP+
Switch 2960172.16.100.15
SW-PISO-3Switch 2960172.16.100.17
SW-PISO-4
Sw-UNION-PISO1
48 Puertos
24 Puertos
STACK24 Puertos
24 Puertos
48 PuertosSTACK
Gi1/0/48 Gi1/0/24
AP Coordinación Administrativa Financiera AP Administrativo
AP Análisis del Delito
OUTCatalyst 2960-S Series PoE+ 10G
MGMT
BASET
CONSOLE
37X
38X
47X
48X
37 38 39 40 41 42 43 44 45 46 47 48
25X
26X
35X
36X
25 26 27 28 29 30 31 32 33 34 35 36
13X
14X
23X
24X
13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12
PoE
STCK
SPED
DPLX
STAT
MSTR
RPS
SYST
MODE
1X
2X
11X
12X
POWER OVER ETHERNET 740W1 2SFP+
Catalyst 2960-S Series PoE+ 10G
MGMT
BASET
CONSOLE
37X
38X
47X
48X
37 38 39 40 41 42 43 44 45 46 47 48
25X
26X
35X
36X
25 26 27 28 29 30 31 32 33 34 35 36
13X
14X
23X
24X
13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12
PoE
STCK
SPED
DPLX
STAT
MSTR
RPS
SYST
MODE
1X
2X
11X
12X
POWER OVER ETHERNET 740W1 2SFP+
Catalyst 2960-S Series PoE+ 10G
MGMT
BASET
CONSOLE
37X
38X
47X
48X
37 38 39 40 41 42 43 44 45 46 47 48
25X
26X
35X
36X
25 26 27 28 29 30 31 32 33 34 35 36
13X
14X
23X
24X
13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12
PoE
STCK
SPED
DPLX
STAT
MSTR
RPS
SYST
MODE
1X
2X
11X
12X
POWER OVER ETHERNET 740W1 2SFP+
Catalyst 2960-S Series PoE+ 10G
MGMT
BASET
CONSOLE
37X
38X
47X
48X
37 38 39 40 41 42 43 44 45 46 47 48
25X
26X
35X
36X
25 26 27 28 29 30 31 32 33 34 35 36
13X
14X
23X
24X
13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12
PoE
STCK
SPED
DPLX
STAT
MSTR
RPS
SYST
MODE
1X
2X
11X
12X
POWER OVER ETHERNET 740W1 2SFP+
Catalyst 2960-S Series PoE+ 10G
MGMT
BASET
CONSOLE
37X
38X
47X
48X
37 38 39 40 41 42 43 44 45 46 47 48
25X
26X
35X
36X
25 26 27 28 29 30 31 32 33 34 35 36
13X
14X
23X
24X
13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12
PoE
STCK
SPED
DPLX
STAT
MSTR
RPS
SYST
MODE
1X
2X
11X
12X
POWER OVER ETHERNET 740W1 2SFP+
Switch 2960172.16.100.10
Sw-PISO-PBSwitch 2960172.16.100.11
SW-PISO-1-02 Switch 2960172.16.100.13
Sw1-PISO-2Switch 2960172.16.100.14
Sw2-PISO-2
48 Puertos 48 Puertos
48 Puertos
STACK48 Puertos 48 Puertos
Gi2/0/48Gi1/0/48 Gi1/0/48Gi1/0/48
AP
VICE DE SEGURIDAD
SUBSECRETARÍA
DE GOBERNABILIDADAP
VICE DE GOBERNABILIDAD
AP SIGOB
AP
SALA ASESORES
Red 10.10.10.x/24GW: 10.10.10.254
DNS: 201.219.1.19/8.8.8.8
SERVIDORES BLACKBOARD
IP: 10.10.10.23 - 33
BALANCEADOR DE CARGA
F5 BIG-IPIP: 201.219.3.188
SGAIP 10.10.10.20 – 21 /24
SERVIDORES TSMVM CENTRAL
CNTSYS ACT POE Cisco 1900 Series
ESQUEMA GENÉRICO DEPENDENCIAS
DATOSENLACE A PLANTA CENTRAL
SVR producción172.16.0.8
SVR DESARROLLO172.16.0.12
SVR ZIMBRA172.16.0.2
ACTIVE DIRECTORY172.16.0.245
POLYCOMSVR INFOTRATA172.16.0.10
04/15/2013Dirección de Tecnologías
de la InformaciónIng. Jaime Jarrín
Ministerio del Interior
SW CAPA 23COM
PORT 9DMZ 01
PORT 10DMZ 02
Red 10.10.20.x/24GW: 10.10.20.254
DNS: 201.219.1.19/8.8.8.8
Ponderación de la Dimensiones de los Activos:
Los activos enlistados serán ponderados en base a la escala correspondiente. Las
dimensiones referenciadas son Confiabilidad, Integridad y Disponibilidad. A
continuación, se detalla los activos y se estipula la ponderación de las
dimensiones según el levantamiento de información:
Escala de Valoración de Dimensiones:
Descripción Valoración
Alta 5
Medianamente Alta 4
Mediana 3
Baja 2
Muy Baja 1
Escala de Valoración de Dimensiones
Activo: Servicio Disponibilidad Confiabilidad Integridad Total
Servicio de Internet. (Permisos de
navegación, Firewall, Proxy, NAT,
APs).
5 4 4 13
Correo Electrónico
Institucional
5
4 5 14
Servicio de carpetas
compartidas
5 5 4 14
Ponderación de las Dimensiones de Activo Servicio
Activo: Datos Disponibilidad Confiabilidad Integridad Total
Datos de Gestión Interna
5 5 4 14
Datos de Carácter Personal
5
3 3 11
Repositorio de información, archivos
compartidos por red
5 4 5 14
Ponderación de las Dimensiones de Activo Datos
Activo: Aplicaciones Disponibilidad Confiabilidad Integridad Total
Software Utilitario 5 4 4 13
Sistema Operativo 5 4 3 12
Sistema de consulta de antecedentes
penales
3 5 5 13
SITMIN (Sistema Integrado del Ministerio del
Interior)
4 5 5 14
Sistema de monitoreo por GPS
4 4 4 12
Sistema de registro de botón de
seguridad
5 5 5 15
Sistema de Gestión de Mantenimiento de UPC
4 4 4 12
Ponderación de las Dimensiones de Activo Aplicaciones
Activo: Equipos Informáticos
Disponibilidad Confiabilidad Integridad Total
Informática Personal 5 4 4 13
Periféricos 5 4 3 12
Soporte de Red 5 4 4 13
Ponderación de las Dimensiones de Activo Equipos Informáticos
Activo: Redes de
Comunicaciones
Disponibilidad Confiabilidad Integridad Total
Central Telefónica 5 5 4 14
Equipo de Acceso a Internet
5
5 5 15
Equipos DATA
CENTER
4 4 4 12
Ponderación de las Dimensiones de Activo Redes de Comunicaciones
Activo: Personal Disponibilidad Confiabilidad Integridad Total
Área de Soporte
Técnico
5 5 5 15
Área Infraestructura
de Red
5 5 5 15
Área Desarrollo de Software
5 5 5 15
Dirección de
Tecnología
5 5 5 15
Ponderación de las Dimensiones de Activo Personal
3. Resultados del Análisis de Riesgos.
El análisis, cuantificación y gestión de riesgos en las operaciones de la Dirección
de Tecnología del Ministerio del Interior, ha sido elaborada en base a la
metodología de gestión MAGERIT (Metodología de Análisis y Gestión de Riesgos
de los Sistemas de Información). Es una metodología promovida por el CSAE
(Consejo Superior de Administración Electrónica) que persigue una aproximación
metódica al análisis de riesgos para la gestión de la seguridad que no deje lugar a
la improvisación ni que dependa exclusivamente de la experiencia del analista de
riesgos.
Análisis y evaluación de riesgos.
A través de la metodología MAGERIT se realizó el análisis de los riesgos
existentes en la Dirección de Tecnología del Ministerio del Interior.
Clasificación de los recursos en las operaciones.
Críticos.
En la Dirección de Tecnología del Ministerio del Interior,
los recursos críticos son los siguientes:
o Repositorio de información, archivos compartidos
por red.
o Servicio de carpetas compartidas.
o Sistema de Reclutamiento Policial.
o Firewall.
o Servidores.
o Data center.
o VPNs Ministerios del Interior MERCOSUR.
o Equipos de conectividad de red.
o Enlaces de datos con Registro Civil y Dirección
Nacional de la Policía Judicial.
Vitales.
Pueden realizarse manualmente por un periodo breve.
Costo de interrupción más bajo, solo sin son restaurados
dentro de un tiempo determinado.
En la Dirección de Tecnología del Ministerio del Interior,
los recursos vitales son los siguientes:
o Correo electrónico.
o Equipos del Data Center.
o Telefonía VoIp.
Sensitivos.
Funciones que pueden realizarse manualmente por un
periodo prolongado a un costo tolerable.
El proceso manual puede ser complicado y requeriría de
personal adicional.
En la Dirección de Tecnología del Ministerio del Interior,
los recursos sensitivos son los siguientes:
o Acceso a Internet
o Máquinas Virtuales.
o Video Conferencia.
Determinación de las Amenazas por Activo:
Activo: Servicio Amenazas
Servicio de Internet.
(Permisos de
navegación, Firewall, Proxy, NAT, APs).
Uso inapropiado Acceso no autorizado
Falta de servicio Interferencia
Correo Electrónico
Institucional
Usurpación de identidad
Falta de servicio Acceso no autorizado Uso no previsto
Servicio de carpetas compartidas
Uso no previsto Manipulación de la credencial de acceso
Manipulación de la configuración del aplicativo
Usurpación de identidad
Robo o pérdida de la credencial de acceso Determinación de Amenazas Activo Servicio
Activo: Datos Amenazas
Datos de Gestión
Interna
Alteración de la información
Destrucción de la información Cambio de ubicación de la información Conocimiento no autorizado
Manipulación de la configuración Divulgación de la información
Datos de Carácter Personal
Errores de los usuarios Acceso no autorizado Conocimiento no autorizado
Destrucción de la información Degradación de la información Divulgación de la información
Repositorio de
información, archivos compartidos por red
Alteración de información
Eliminación de archivos Mala consolidación de información
Determinación de Amenazas Activo Datos
Activo: Aplicaciones Amenazas
Software Utilitario Ataque de virus Manipulación de programas Errores de usuario
Sistema Operativo Suplantación de la identidad de usuario Errores de administración
Propagación de software malicioso Acceso no autorizado
Sistema de consulta de antecedentes penales
Falla de conexión con las VPN al Registro Civil y a la Dirección Nacional de la Policía Judicial Desconocimiento de uso por parte de los ciudadanos
SITMIN (Sistema Integrado del Ministerio del
Interior)
Suplantación de la identidad de usuario Manipulación de programas Caída del servidor de Desarrollo
Errores de usuario
Sistema de monitoreo por GPS
Caída del sistema Caída del servidor de Desarrollo Errores de usuario
Sistema de registro de botón de
Caída del sistema Caída del servidor de Desarrollo
seguridad
Errores de usuario
Sistema de Gestión
de Mantenimiento de UPC
Caída de CLOUD CNT donde está alojado el
sistema Errores de usuario
Determinación de Amenazas Activo Aplicaciones
Activo: Equipos
Informáticos
Amenazas
Informática Personal Acceso no autorizado
Modificación de la asignación del equipo Accidentes imprevistos Falta de energía eléctrica
Manipulación de las propiedades del equipo Ingreso no autorizado del equipo
Periféricos Acceso no autorizado Accidentes imprevistos Cambio de ubicación no autorizado
Soporte de Red Manipulación de la configuración de red Errores de administración Falta de energía eléctrica
Ausencia de puntos de red Determinación de Amenazas Activo Equipos Informáticos
Activo: Redes de Comunicaciones
Amenazas
Central Telefónica Manipulación de la asignación de las Ips Falta de energía eléctrica Accidentes imprevistos
Caída del servidor de la central telefónica
Equipo de Acceso a
Internet
Manipulación de la configuración
Accidentes imprevistos Caída del servidor proveedor Problemas con las conexiones del proveedor
Errores de administración Falta de energía eléctrica
Equipos DATA CENTER
Mala configuración de máquinas virtuales Caída de servidores Control de acceso al DATA CENTER
Determinación de Amenazas Activo Redes de Comunicaciones
Activo: Personal Amenazas
Área de Soporte Técnico
Falta de personal operativo
Área Infraestructura
de Red
Desconocimiento de funciones
Área Desarrollo de Software
No trabajar en equipo y manejar proyectos por
separado
Dirección de Tecnología
Mala organización
Determinación de Amenazas Activo Personal
Evaluación del estado actual de la seguridad.
Cálculo de riesgo:
A partir del levantamiento de información, donde se arrojó el nivel de frecuencia e
impacto al activo mediante la amenaza se han calculado los riesgos por cada una:
Escala de Valoración de Frecuencia:
Descripción Valoración
Altamente Frecuente 5
Frecuente 4
Medianamente Frecuente 3
Poco Frecuente 2
Muy Poco Frecuente 1
Escala de Valoración de Frecuencia
Escala de Valoración de Impacto:
Descripción Valoración
Alto 5
Medianamente Alto 4
Mediano 3
Bajo 2
Muy Bajo 1
Escala de Valoración de Impacto
Activo Amenazas Frecuencia Impacto Total
Servicio de Internet
Uso inapropiado 3 3 9 Acceso no autorizado 2 4 8 Falta de servicio 1 5 5 Interferencia
2 4 8
Correo Electrónico Institucional
Usurpación de identidad
2 4 8
Falta de servicio 1 4 4
Acceso no autorizado 4 3 12
Uso no previsto 3 3 9
Servicio de carpetas
compartidas
Uso no previsto 2 4 8
Manipulación de la credencial de acceso
3 5 15
Manipulación de la configuración del
aplicativo
2 2 4
Usurpación de
identidad
3 4 12
Robo o pérdida de la
credencial de acceso
4 5 20
Datos de Gestión
Interna
Alteración de la información
2 5 10
Destrucción de la información
3 5 15
Manipulación de la configuración
2 5 10
Divulgación de información
4 4 16
Datos de Carácter
Personal
Errores de los
usuarios
4 4 16
Acceso no autorizado 3 3 9
Destrucción de información
2 5 10
Degradación de la información
2 5 10
Divulgación de información
2 3 6
Software Utilitarios
Ataque de virus 2 2 4
Manipulación de
programas
3 2 6
Errores de usuario 4 4 16
Sistemas
Operativos
Suplantación de identidad de usuario
3 3 9
Errores de administración
3 4 12
Propagación de software malicioso
2 3 6
Acceso no autorizado 3 4 12
Sistema de
consulta de antecedentes penales
Falla de conexión con
las VPN al Registro Civil y a la Dirección Nacional de la Policía
Judicial
4 3 12
Desconocimiento de uso por parte de los ciudadanos
2 3 6
SITMIN (Sistema Integrado del
Ministerio del Interior)
Suplantación de la identidad de usuario
2 2 4
Manipulación de
programas
2 2 4
Caída del servidor de
Desarrollo
2 5 10
Errores de usuario
4 2 8
Sistema de
monitoreo por GPS
Caída del sistema
1 5 5
Caída del servidor de
Desarrollo
2 5 10
Errores de usuario 3 4 12
Sistema de registro de botón
de seguridad
Caída del sistema
1 5 5
Caída del servidor de Desarrollo
2 5 10
Errores de usuario 3 4 12
Sistema de
Gestión de Mantenimiento de UPC
Caída de cloud CNT
donde está alojado el sistema
2 5 10
Errores de usuario 3 4 12
Informática Personal
Acceso no autorizado 3 2 6
Modificación de la
asignación del equipo
3 2 6
Accidentes imprevistos 3 2 6
Falta de energía eléctrica
3 2 6
Manipulación de las propiedades del equipo
3 2 6
Ingreso no autorizado de equipo
2 3 6
Periféricos
Acceso no autorizado 5 3 15
Accidentes imprevistos 4 3 12
Cambio de ubicación no autorizado
3 3 9
Soporte de Red Manipulación de configuración de red
2 4 8
Errores de administración
2 4 8
Falta de energía eléctrica
4 5 20
Ausencia de puntos de red
4 4 16
Central Telefónica Manipulación de
asignación de Ips
2 4 8
Falta de energía
eléctrica
3 5 15
Accidentes imprevistos 3 3 9
Caída del servidor de la central telefónica
4 4 16
Equipo de Acceso a Internet
Manipulación de configuración
2 4 8
Accidentes imprevistos 2 4 8
Caída del servidor proveedor
2 4 8
Problemas con las conexiones del proveedor
2 4 8
Errores de administración
2 4 8
Falta de energía eléctrica
3 5 15
Equipos DATA
CENTER
Mala configuración de
máquinas virtuales
1 4 4
Caída de servidores
1 5 5
Control de acceso al DATA CENTER
3 3 9
Personal: Diferentes áreas
Falta de personal operativo
4 4 16
Desconocimiento de funciones
3 3 9
No trabajar en equipo y manejar proyectos por separado
2 2 4
Mala organización 2 3 6
Resultado del Cálculo de Riesgo de los Activos
Plan de tratamiento de riesgo (PTR):
ACTIVOS AMENAZAS VULNERABILIDADES PTR
Servicio de
Internet
Uso inapropiado No respetar los límites de acceso Falta de capacitación sobre los límites de acceso
Aceptar
Reducir
Acceso no autorizado No respetar los límites de acceso
Aceptar
Falta de servicio Problemas del
proveedor de internet
Transferir
Interferencia
Falta de protección de
la red
Aceptar
Correo Electrónico
Institucional
Usurpación de identidad Falta de control en el
acceso Divulgación de la información de acceso
Reducir
Reducir
Falta de servicio Falta del servicio de Internet
Interferencia con el servidor interno de correo
Transferir
Reducir
Acceso no autorizado No respetar los límites de acceso
Usurpación de identidad
Aceptar
Reducir
Uso no previsto Falta de políticas Reducir
Servicio Uso no previsto Falta de políticas Reducir
de
carpetas compartidas
Manipulación de la
credencial de acceso
Falta de implementación
de mayor seguridades en la credencial
Reducir
Manipulación de la configuración del aplicativo
Falta de políticas Reducir
Usurpación de identidad Falta de control en el
acceso
Reducir
Robo o pérdida de la
credencial de acceso
Falta de método de
apoyo para el caso
Reducir
Datos de Gestión
Interna
Alteración de la información
Insuficiente entrenamiento de
empleados
Reducir
Destrucción de la
información
Falta de un debido
control de acceso a usuarios y de una protección física
Reducir
Cambio de ubicación de la información
Falta de protección física adecuada
Reducir
Manipulación de la configuración
Falta de un debido control de acceso a usuarios
Reducir
Divulgación de la información
Almacenamiento no protegido
Reducir
Datos de Carácter
Personal
Errores de los usuarios Falta de conocimiento y oportuno entrenamiento
Reducir
Acceso no autorizado Falta de políticas y
protección física
Reducir
Destrucción de la información
Falta de un debido control de acceso a usuarios y de una
protección física
Reducir
Degradación de la
información
Falta de mantenimiento
adecuado
Reducir
Divulgación de la
información
Almacenamiento no
protegido
Aceptar
Software Utilitario
Ataque de virus Falta de protección contra aplicaciones dañinas
Aceptar
Manipulación de
programas
Insuficiente
entrenamiento de empleados
Aceptar
Errores de usuario Falta de conocimiento y oportuno entrenamiento
Reducir
Sistema Operativo
Suplantación de la identidad de usuario
Falta de control de acceso
Aceptar
Errores de administración Falta de conocimiento
de funciones del administrador
Reducir
Propagación de software malicioso
Falta de protección y controles en las configuraciones de la
red
Aceptar
Acceso no autorizado Falta de políticas y
protección física
Reducir
Sistema de consulta
de antecedentes
penales
Falla de conexión con las VPN al Registro Civil y a la Dirección Nacional de
la Policía Judicial
Insuficiente comunicación entre instituciones
involucradas en el servicio para mejor control
Reducir
Desconocimiento de uso por parte de los
ciudadanos
Desconocimiento técnico por parte de los
ciudadanos
Aceptar
SITMIN
(Sistema Integrado del
Ministerio del Interior)
Suplantación de la
identidad de usuario
Divulgación de
credenciales de uso de la aplicación
Reducir
Manipulación de programas
Ingreso a procesos que no le competen al usuario
Reducir
Caída del servidor de Desarrollo
Falta de acuerdos bien definidos con terceras
partes
Reducir
Errores de usuario
Insuficiente entrenamiento de usuarios
Aceptar
Sistema de
monitoreo por GPS
Caída del sistema
Falta de acuerdos bien definidos con terceras
partes
Reducir
Caída del servidor de
Desarrollo
Falta de acuerdos bien
definidos con terceras partes
Reducir
Errores de usuario Insuficiente entrenamiento de
Reducir
usuarios
Sistema de
registro de botón de
seguridad
Caída del sistema
Falta de acuerdos bien definidos con terceras
partes
Reducir
Caída del servidor de
Desarrollo
Falta de acuerdos bien
definidos con terceras partes
Reducir
Errores de usuario Insuficiente entrenamiento de usuarios
Reducir
Sistema de
Gestión de Mantenimi
ento de UPC
Caída de cloud CNT donde está alojado el
sistema
Falta de acuerdos bien definidos con terceras
partes
Reducir
Errores de usuario Insuficiente entrenamiento de usuarios
Aceptar
Informática Personal
Falta de energía eléctrica Falta de acuerdos bien definidos con terceras partes
Aceptar
Manipulación de las propiedades del equipo
Falta de control de acceso
Aceptar
Ingreso no autorizado del equipo
Falta de control de acceso
Aceptar
Acceso no autorizado Falta de control de acceso
Reducir
Accidentes imprevistos Condiciones locales donde los recursos son
fácilmente afectados
Reducir
Cambio de ubicación no
autorizado
Falta de protección
física adecuada
Aceptar
Periféricos Acceso no autorizado Falta de control de seguridad
Aceptar
Accidentes imprevistos Condiciones locales donde los recursos son
fácilmente afectados
Reducir
Cambio de ubicación no
autorizado
Traslado no autorizado
de periféricos
Reducir
Soporte de Red
Manipulación de configuración de red
Falta de control de acceso
Reducir
Errores de administración Falta de conocimiento de administrador de
Reducir
infraestructura de red
Falta de energía eléctrica Falta de acuerdos bien definidos con terceras
partes
Reducir
Ausencia de puntos de
red
Condiciones locales
donde los recursos son fácilmente afectados
Reducir
Central Telefónica
Caída del servidor de la central telefónica
Falta de acuerdos bien definidos con terceras partes
Reducir
Manipulación de la configuración
Falta de control de acceso
Aceptar
Accidentes imprevistos Condiciones locales donde los recursos son fácilmente afectados
Reducir
Caída del servidor proveedor
Falta de acuerdos bien definidos con terceras partes
Transferir
Equipo de Acceso a
Internet
Problemas con las conexiones del proveedor
Falta de acuerdos bien definidos con terceras
partes
Transferir
Errores de administración Falta de conocimiento
de funciones del administrador
Reducir
Falta de energía eléctrica Falta de capacitación del administrador
Reducir
Desconocimiento de sus funciones
Falta de conocimiento y oportuno entrenamiento
Reducir
Mala organización Desconocimiento de estándares y reglas establecidas por la empresa Falta de reglas según el caso
Reducir
Indisponibilidad del
personal
Falta de conocimiento y
oportuno entrenamiento
Aceptar
Equipos DATA CENTER
Mala configuración de máquinas virtuales
Falta de conocimiento y oportuno entrenamiento
Reducir
Caída de servidores
Falta de acuerdos bien definidos con terceras
partes
Reducir
Control de acceso al
DATA CENTER
Falta de reglas según el caso
Reducir
Personal:
Diferentes áreas
Falta de personal
operativo
Escaso personal para
tareas operativas como asistencia a usuarios
Reducir
Desconocimiento de funciones
Desconocimiento de estándares y reglas establecidas por la
empresa Falta de reglas según el caso
Reducir
No trabajar en equipo y manejar proyectos por
separado
Insuficiente entrenamiento de
empleados
Reducir
Mala organización Desconocimiento de estándares y reglas
establecidas por la empresa Falta de reglas según el
caso
Reducir
Plan de Tratamiento de Riesgo
4. Políticas de Seguridad Informática.
ASPECTOS GENERALES.
Las amenazas internas como externas a las que la información se puede ver
sometida, es por eso que la política de seguridad trata de minimizar al máximo los
riesgos que asociados con la información, siendo posible conseguir esto
únicamente si la política de seguridad de la información se eleva al mismo nivel de
la política de la dirección.
El éxito de esta política radica en el compromiso por parte de las autoridades de la
dirección, una amplia difusión de la misma, y el serio compromiso de cumplimiento
por parte de los usuarios.
Objetivos.
Resguardar la información como bien preciado de la información, también
elementos tecnológicos y sistemas que procesan la misma a fin de minimizar el
riesgo de incidentes que afecten la confidencialidad, integridad o disponibilidad de
la información.
Establecer un estándar que guie las operaciones a realizar con la información, que
debe mantenerse actualizado y difundido a fin de asegurar que esta política
cumpla con los objetivos antes mencionados.
Implementar en la Dirección de Tecnología del Ministerio del Interior, la gestión
unificada de la seguridad de la información, especificando las instancias que
permitan implantar controles apropiados para garantizar su cumplimiento.
Establecer con claridad las funciones y responsabilidades dentro de la gestión de
la seguridad de la información.
Definir medidas de seguridad que permitan regular los accesos a activos de
información por parte de los funcionarios para minimizar riesgos.
Promover el asesoramiento externo en materia de seguridad de la información a
fin de complementar la política de seguridad de la información.
Alcance.
La política es aplicable dentro de la Dirección de Tecnología del Ministerio del
Interior, en el que se concentra la gestión de la seguridad, así mismo como los
servidores que poseen la información y gestionan los servicios.
El control será aplicable a todos los recursos o funcionarios que directa o
indirectamente interactúan con los activos de información, y se hace extensible a
los recursos externos que requieran acceso a información interna, servicios o
sistemas informáticos.
Responsabilidad.
Todos los funcionarios que forman parte de tecnología, así como jefes de área y
director son responsables de observar y cumplir la Política de Seguridad de la
Información dentro del área a su responsabilidad y hacer cumplir la misma al
personal bajo su cargo, como actores principales a continuación:
Oficial de Seguridad Informática.
Encargado de la administración de la seguridad de los sistemas de la información,
y encargado de supervisar los aspectos de la política de seguridad.
Se encarga de cubrir o delegar tareas relacionadas a satisfacer los requerimientos
de seguridad de la información a nivel operativo.
El funcionario encargado de la seguridad informática dentro de la Dirección de
Tecnología del Ministerio del Interior será responsable de las actualizaciones de
políticas o cambios sean necesarios, delegara personal bajo su mando la realicen
monitoreo, pruebas, análisis de riesgos, implementación de controles y realización
de procedimientos de orden técnico en la relacionado a la seguridad de la
información.
Deberá evaluar la necesidad de solicitar asesoramiento externo en caso de existir
la necesidad.
Usuarios Propietarios de la Información.
Son responsables de clasificar y catalogar la información según el nivel de
criticidad y confidencialidad de la misma, mantener documentada y actualizada
esta información y definir específicamente que usuarios necesitan acceder en
función de sus competencias y que nivel de accesos requerido.
Director de Tecnología del Ministerio del Interior.
Responsable de notificar al personal que ingresa que debe cumplir con la Política
de Seguridad de la Información y de todas las normas administrativas o técnicas
que se apliquen y de cualquier cambio que en la política de seguridad de la
información se presente.
Usuarios de la información y de los sistemas.
Responsables de conocer, difundir, cumplir y fomentar el cumplimiento de la
política de seguridad de la información, además en cumplir toda acción, función, o
tarea relacionada directamente con la información que accede o maneja.
Auditor(es) Internos(s).
Es necesario luego de la implementación de u n SIGSI, se realicen auditorias que
permitan asegurar el cumplimiento de los lineamientos de seguridad establecidos,
el auditor tiene la obligación de realizar revisiones periódicas sobre el SIGSI,
constatando el cumplimiento en todo ámbito al manejo de la información o
recursos tecnológicos.
Una vez realizada una auditoria, será debe presentar un informe detallando las
novedades presentadas.
Políticas de Confiabilidad
La gestión a desarrollar indica los siguientes parámetros para mantener la
confiabilidad de la información:
Todo cambio dentro de la información del sistema debe ser notificada vía escrita firmada por el jefe de departamento que comunica el cambio,
directamente, al encargado del área de sistemas.
La información a ingresar debe ser correctamente revisada, y teniendo en
cuenta que los datos manejados son de vital importancia para el desempeño de las funciones de la institución y aún más relevantes para los clientes de la misma.
La eliminación de la información no es permitida, solamente se pueden realizar registros nuevos con la modificación.
Políticas de integridad
Se sugiere a la institución seguir los siguientes lineamientos para mantener la
integridad de su información:
Cada acceso al sistema deber mediante nombre de usuario y clave.
El nombre de usuario y clave será dado al momento de la incorporación a la dirección.
En caso de cambio de los datos de acceso, deberá ser notificado por
escrito, detallando la causa del cambio y firmado por el responsable y el director de Tecnología de la Información.
En caso de finalización de la relación laboral, deberá ser notificado por escrito, detallando la causa y firmado por el responsable y el director de
Tecnología de la Información. El cambio cambiará el estado de la información de acceso a inactivado. Una vez desactivado esta información no podrá ser cambiado a ningún otro estado.
Al intentar ingresar al sistema, solo se podrá escribir la clave hasta cinco veces. Al completar el límite, el usuario de bloqueará.
El bloqueo de un usuario solo podrá ser inhabilitado, mediante un oficio
escrito donde se detalle la causa del bloqueo firmado por el responsable y el jefe de la dirección. Este documento debe ser entregado al encargado
del área de sistemas.
La información de acceso es responsabilidad, totalmente, del funcionario a
la cual fue asignada y no debe ser divulgada a ningún tercero.
La información de acceso es considerada de carácter secreto e
intransferible.
Políticas de disponibilidad
Las políticas de disponibilidad detallan las especificaciones para mantener la
información correcta para quienes la puedan consultar:
El ingreso o modificación de la información del sistema será un proceso en línea.
La información de los ciudadanos es considerada de carácter privado.
En caso de modificación de la información del sistema, el registro o los
registros utilizados serán bloqueados para evitar error en el cambio de los datos.
Políticas de manejo de la Dirección de Tecnología (Durante la gestión)
La dirección debe mantener un buen ambiente de trabajo dentro de la
misma, promoviendo la vinculación integral entre las áreas de trabajo y
personal en general.
La dirección determina los principios del cumplimiento de las disposiciones
que norman las conductas a seguir para lograr los resultados buscados,
dentro de un clima de trabajo positivo y ajustarlo a la aplicación de una justa
retribución.
La dirección debe entrenar, capacitar y actualizar al personal en las
políticas y procedimientos de seguridad que prevén proteger los activos de
información.
El personal de la dirección debe estar siempre presto a la capacitación de
las políticas y procedimientos de seguridad para evitar realizar infracciones
o violaciones de los mismos.
La dirección debe publicar, periódicamente, el listado de infracciones o
violaciones de políticas de seguridad.
El personal de la dirección debe conocer los procedimientos disciplinarios a
seguir en caso de infracción o violación de las políticas de seguridad.
La dirección determina los lineamientos de verificación de aplicabilidad de
las políticas y procedimientos de seguridad de la información.
5. Sistema de Seguridad Informática.
5.1. Medios humanos.
Medios humanos
Área de Soporte Técnico
Área Infraestructura de Red
Área Desarrollo de Software
Dirección de Tecnología
5.2. Medios técnicos.
Servicios
Servicio de Internet. (Permisos de navegación, Firewall, Proxy, NAT,
APs).
Correo Electrónico Institucional
Servicio de carpetas compartidas
Datos
Datos de Gestión Interna
Datos de Carácter Personal
Repositorio de información, archivos compartidos por red
Aplicaciones
Software Utilitario
Sistema Operativo
Sistema de consulta de antecedentes penales
SITMIN (Sistema Integrado del Ministerio del Interior)
Sistema de monitoreo por GPS
Sistema de registro de botón de seguridad
Sistema de Gestión de Mantenimiento de UPC
Equipos Informáticos
Informática Personal
Periféricos
Soporte de Red
Redes de Comunicaciones
Central Telefónica
Equipo de Acceso a Internet
Equipos DATA CENTER
5.3. Medidas y Procedimientos de Seguridad Informática.
Necesidades de Verificación de Aplicabilidad de Seguridades:
Las razones por la cuales se podría considerar que se necesite de realizar verificación de la aplicabilidad de las políticas y procedimientos de seguridad son:
Infringir alguna de las políticas de seguridad que cree dificultades graves
dentro de la organización.
Seguimiento de la aplicabilidad de las seguridades. Cumplir el seguimiento a la aplicabilidad de las políticas y procedimientos
de seguridad.
Sugerencias de los empleados.
Cualquier requerimiento para verificación de aplicabilidad del personal puede ser
canalizado por escrito.
Plan de Verificación de Aplicabilidad de Seguridades
Los Jefes de cada Área.
Al inicio de cada año elabora el “Plan de Verificación de Aplicabilidad de
Seguridades” en la planilla correspondiente al plan a elaborar, el cual debe
ser aprobado por la Dirección.
En caso de que se hubieran detectado Necesidades de Verificaciones de
Aplicabilidad por cualquiera de los puntos indicados, estas deben ser
consideradas por “Actualización del Plan de Verificación de Aplicabilidad de
Seguridades”.
El Plan de Verificación de Aplicabilidad prevé aplicar el formulario de
verificación de aplicabilidad de las políticas de seguridad que incluye serie
de preguntas acerca de las seguridades implementadas en la empresa y
como es aplicada por el cuestionado.
Los empleados
Serán informados sobre la ejecución del Plan de Verificación de Aplicabilidad
mediante un boletín de información publicado en la cartelera de la empresa.
No se permitirán faltas ni atraso durante la ejecución del Plan de
Verificación, sin importancia de índoles. Cualquier empleado que no cumpla
con lo estipulado, será considerado para sanción, según procedimientos
disciplinarios.
Actualización del Plan de Verificación de Aplicabilidad de Seguridades
Si se presentan actividades que se consideren como necesidades de verificación
de aplicabilidad adicionales a las previstas en el Plan de Verificación de
Aplicabilidad, estas se ingresarán mediante solicitud escrita. Dicha verificación de
aplicabilidad deberá ser aprobada por la Dirección.
Los Jefes de cada Área
Analiza la solicitud y determina la logística, presupuesto, costos y posible
cronograma. Toda esta información la remite a la Dirección quien da su
aprobación.
Si la verificación de aplicabilidad es aprobada, es incluida en el Plan de
Verificación de Aplicabilidad de Seguridades.
Los incumplimientos al “Plan de Verificación de Aplicabilidad de
Seguridades” deberán ser justificados en el mismo formato, columna
Justificación de incumplimiento. En dicha columna se debe registrar la
causa de la falta.
Control de Asistencia de Ejecución de Verificación de Aplicabilidad
Los Jefes de cada Área
Se estructura un formulario de registro de asistencia a ejecución de
verificación de aplicabilidad.
Una vez que la verificación de aplicabilidad ha sido terminada, se archiva el
registro de asistencia de la misma.
Procedimiento para capacitar sobre las políticas y procedimientos de
seguridad de la información y sus actualizaciones
Objetivo
Comunicar las políticas y procedimientos de seguridad de información instalados en la empresa, a través de capacitaciones pertinentes para ser aplicadas en el
desarrollo de las actividades diarias.
Alcance La Dirección debería capacitar a empleados, contratistas y usuarios de terceras
partes acerca de la seguridad en concordancia con las políticas y los procedimientos establecidos de la organización. La aplicación y cumplimiento de éste procedimiento es responsabilidad de la Dirección de Tecnología.
Responsabilidades
Del Director junto con los Jefe de cada Área: Definir el “Plan de Capacitación: Seguridad de la Información”.
Del Jefe de cada Área: de coordinar la ejecución de las actividades de capacitación del personal que lo necesite y de hacer seguimiento al cumplimiento
del Plan de Capacitación.
Descripción del Procedimiento
Necesidades de Capacitación
Las razones por la cuales se podría considerar que se necesite de capacitación son:
Infringir alguna de las políticas de seguridad por desconocimiento de la misma.
Desarrollar conciencia con respecto a la seguridad de la información.
Calificación del personal que indique necesidad de capacitación.
Capacitación organizada por requerimiento del Jefe de cada Área.
Se considera que los empleados desconocen sobre las políticas y los
procedimientos de seguridad.
Sugerencias de los empleados.
Cualquier requerimiento para capacitación del personal debe ser canalizado por
escrito.
Plan de Capacitación: Seguridad de la Información
Los Jefes de cada Área
Al inicio de cada año elabora el “Plan de Capacitación: Seguridad de
Información” en la planilla correspondiente al plan a elaborar, el cual debe
ser aprobado por la Dirección.
En caso de que se hubieran detectado Necesidades de Capacitación por
cualquiera de los puntos indicados, estas deben ser consideradas para
“Actualización del Plan de Capacitación: Seguridad de la Información”.
El Plan de Capacitación incluye la información referente a: tema,
participantes, horas, y fechas aproximadas.
Los empleados
Serán informados del inicio de una capacitación con un tiempo prudente,
mediante carta de convocatoria.
No se permitirán faltas ni atraso para ninguna capacitación, sin importancia
de índoles, siempre y cuando el empleado haya sido convocado.
Actualización del Plan de Capacitación: Seguridad de la Información
Si se presentan actividades de capacitación adicionales a las previstas en el Plan
de Capacitación, estas se ingresarán mediante solicitud escrita. Dicha
capacitación deberá ser aprobada por la Dirección. Esto se aplica principalmente
cuando se requiere de capacitaciones externas.
Los Jefes de cada Área
Analiza la solicitud y determina la logística, presupuesto, costos y posible
cronograma. Toda esta información la remite a la Dirección quien da su
aprobación.
Si la capacitación es aprobada, es incluida en el Plan de Capacitación.
Los incumplimientos al “Plan de Capacitación: Seguridad de la información”
deberán ser justificados en el mismo formato, columna Justificación de
incumplimiento. En dicha columna se debe registrar la causa de la falta.
Control de Asistencia a Capacitación
Los Jefes de cada Área
Se estructura un formulario de registro de asistencia a capacitación. Si la
capacitación es externa, se debe entregar un formulario similar a cargo de
uno de los enviados y deberá ser firmada por los empleados de la
Dirección.
Una vez que la capacitación ha sido terminada, se archiva el registro de
asistencia de la misma.
Certificado de la Capacitación
Los certificados de capacitación serán entregados en mismo día en que la
misma será terminada. Se archiva una copia del certificado en la carpeta de
personal.
Si la capacitación ha sido externa, el certificado será entregado según la
entidad externa. De igual manera, se archiva una copia del certificado en la
carpeta de personal.
Procedimiento para aplicar sanciones por infracción sobre alguna política de
seguridad de la empresa.
Objetivo
Aplicar sanciones por infracción o violación de alguna política de seguridad que rige en la Dirección, por parte del personal que ha sido capacitado, a través, de distintos procedimientos disciplinarios.
Alcance
Debería existir un proceso formal disciplinario para empleados que produzcan brechas en la seguridad.
Responsabilidades
Del Director junto con los Jefes de cada Área: Definir los procedimientos
disciplinarios que se aplicaran por infracción o violación de alguna política de seguridad.
De los Jefes de cada Área: de aplicar el procedimiento disciplinario correspondiente a la infracción o violación realizada. Comunicar a los empleados de dichos procedimientos disciplinarios, valiéndose del Plan de Capacitación:
Políticas de Seguridad.
Descripción del Procedimiento
Tipos de Infracciones o Violaciones a las Políticas de Seguridad.
Algunos tipos de infracción o violaciones a las políticas de seguridad por la cuales
se podría considerar aplicar procedimiento disciplinario son:
Alteración, destrucción, divulgación y cambio de ubicación de información
(Dentro y fuera de la Dirección).
Uso inapropiado de los diferentes recursos (Acceso no autorizado).
Usurpación de identidad
Manipulación de credenciales de acceso (Ingreso del trabajo)
Manipulación de la configuración de los aplicativos de las estaciones de
trabajo.
Errores de administración aplicados a los aplicativos.
Abuso de privilegios de acceso
Desconocimiento de sus funciones y responsabilidades dentro de la
Dirección.
Extorsión
Cualquiera de las infracciones o violaciones detalladas deben ser reportadas por
medio del formulario de infracciones de políticas de seguridad. Las mismas que
deben ser reportadas al Jefe de Área, para que el mismo sea remitido.
Procedimientos Disciplinarios aplicables a Infracciones o Violaciones de
Políticas de Seguridad
Todas las infracciones se verán afectadas por el siguiente flujo:
Se realiza llamado de atención por escrito al infractor.
Se detalla un memorándum donde se especifica el hecho realizado y la
consecuencia del mismo. Las consecuencias son para la Dirección y para el
empleado tanto de tipo monetaria como para su hoja de vida.
Cada infracción tiene una diferenciación en el procedimiento disciplinario,
inscripta a continuación:
Infracción o Violación de Políticas de Seguridad
Procedimiento Disciplinario
Alteración, destrucción,
divulgación y cambio de ubicación de información (Dentro y fuera de la Dirección).
Llamado de atención en la hoja de
vida. Capacitación acerca de activos de información y su protección.
Uso inapropiado de los diferentes
recursos (Acceso no autorizado).
Capacitación acerca de los recursos
de la Dirección y su uso autorizado.
Usurpación de identidad Llamado de atención grave en la hoja de vida. Reunión directa con la Dirección y el
Jefe del Área
Manipulación de credenciales de
acceso (Ingreso del trabajo)
Llamado de atención grave en la hoja
de vida. Reunión directa con la Dirección y el Jefe del Área
Manipulación de la configuración de los aplicativos y recursos de
las estaciones de trabajo.
Capacitación acerca de recursos informáticos de la Dirección, a cargo
de delegado de Jefe de Área.
Errores de administración aplicados al software informático.
Reunión con el Jefe de Área. Revisión del Manual de Funciones y
Responsabilidades del área Sistemas.
Abuso de privilegios de acceso Llamado de atención en la hoja de vida. Capacitación acerca de recursos
informáticos de la Dirección, a cargo de delegado de Jefe de Área.
Desconocimiento de sus funciones y responsabilidades
dentro de la Dirección.
Llamado de atención en la hoja de vida.
Reunión con el Jefe de Área para revisión de Manual de Funciones y Responsabilidad del área al cual
pertenezca el infractor.
Extorsión
Separación de la Dirección.
Infracciones o Violaciones de Políticas de Seguridad
La aplicación de cualquier procedimiento disciplinario será supervisada por el
encargado de la misma de mayor rango jerárquico y generara un formulario de
seguimiento de aplicación de procedimientos disciplinarios. Cada procedimiento
disciplinario generara un archivo final que reflejara lo dispuesto, según la sanción.
Toda la documentación que arroje cualquiera de los procedimientos disciplinarios
será archivada en la Carpeta de Personal.
Detección de las Infracciones o Violaciones de Políticas de Seguridad:
Infracción o Violación de Políticas de Seguridad
Procedimiento de Detección
Alteración, destrucción, divulgación y cambio de ubicación de información (Dentro y fuera de
la compañía).
Falta o modificación de la información, detectada mediante consulta de la misma.
Divulgación escrita o verbal de información Conocimiento de información por
personas externas a la Dirección
Uso inapropiado de los diferentes
recursos (Acceso no autorizado).
Observación visual
Revisión de recursos mal utilizados
Usurpación de identidad Doble inicio de sesión
Manipulación de la configuración de usuario o de las opciones permitidas al mismo.
Manipulación de credenciales de
acceso (Ingreso del trabajo)
Alteraciones en la credencial de
acceso
Manipulación de la configuración
de los aplicativos y recursos de las estaciones de trabajo.
Observación visual, incluye reubicación Comprobación de manipulación de aplicativo por otro usuario Inhabilitación del usuario por manipulación de usuario.
Errores de administración
aplicados al software informático.
Fallas del aplicativo en el nivel de
clientes Fallas en los privilegios de acceso (Desactivar acceso de páginas web
para desarrollo de trabajo)
Abuso de privilegios de acceso Observación visual Atraso de la productividad por uso inapropiado de los recursos
informáticos
Desconocimiento de sus funciones y responsabilidades dentro de la Dirección.
Mal desempeño de sus actividades Intermisión en las actividades de otro empleado
Atraso de la productividad
Extorsión
Prueba escrita recibida por cualquier medio, que muestra la extorsión (Dentro o fuera de la empresa)
Detección de las Infracciones o Violaciones de Políticas de Seguridad
Aplicación de los Procedimientos Disciplinarios
Los Jefes de Área
Detecta la infracción y envía por llamado de atención por escrito al infractor.
Realiza memorándum donde se especifica el hecho realizado y la
consecuencia del mismo.
Envía los documentos a la Dirección para realizar la aplicación de los
procedimientos disciplinarios.
Realiza la capacitación si el caso lo requiere.
La Dirección
Colabora con la definición de los procedimientos disciplinarios.
Revisa la documentación enviada por cualquier Jefe de Área en caso de
infracción o violación de políticas de seguridad.
Aplica el procedimiento disciplinario según la infracción realizada.
Reporta al Jefe Administrativo - Recursos Humanos, la documentación
resultante de la aplicación del procedimiento disciplinario.
Define los procedimientos disciplinarios en colaboración con la Jefe de
Área.
Colabora con la aplicación de los procedimientos disciplinarios dependiendo
de la infracción.
Los empleados
Conocen los procedimientos disciplinarios.
Evitan infringir las políticas y procedimientos de seguridad de información.
Acatan los procedimientos disciplinarios, según su infracción. Se acogen a
las actividades a seguir.
Actualización de los Procedimientos Disciplinarios
Si se presentan infracciones o violaciones a políticas de seguridad que se
consideran relevantes y que se realicen por primera vez, se debe adjuntar a los
Tipos de Infracciones y Violaciones de Políticas de Seguridad.
Los Jefes de Área
Redactan un informe, detallando la infracción, las consecuencias para el
empleado y para la empresa y la forma como fue detectada. Dicho informe
es remitido a la Dirección.
La Dirección
Analiza el informe enviado por cualquiera de los Jefes de Área y determina
el nivel de afectación de la infracción.
Si la infracción se determina importante, es incluida en los Tipos de
Infracciones y Violaciones de Políticas de Seguridad.
6. Anexos.
Anexo1: Organigrama de la Dirección:
DIRECCIÓN
DESARROLLO DE SOWTWARE
INFRAESTRUCTURA DE RED
SOPORTE TÉCNICO
Anexo2: Formulario de Aplicabilidad de las Políticas de Seguridad
FORMULARIO DE APLICABILIDAD
DE POLÍTICAS DE SEGURIDAD
NOMBRE DEL ENCUESTADO: ___________________________________
FECHA : ___________________________________
CARGO : ___________________________________
ÁREA DE TRABAJO : ___________________________________
Instrucciones: Debe responder las preguntas de manera honesta y responsable.
Sus respuestas deben ser claras y concisas. Por favor, entregue el formulario sin
tachones, ni arrugas.
1. ¿Conoce las políticas de Seguridad de Información que se aplican en su área
de trabajo?
Respuesta: ____________________________________________________
2. ¿Ha sido informado a tiempo de las políticas de seguridad de información?
Respuesta: ____________________________________________________
3. ¿Conoce las infracciones o violaciones de las políticas de Seguridad de
Información?
Respuesta: ____________________________________________________
4. ¿Ha sido informado a tiempo de los procedimientos disciplinarios?
Respuesta: ____________________________________________________
5. ¿Cuán dañino considera que puede ser la alteración o divulgación de la
información?
Respuesta: ____________________________________________________
6. ¿Cuáles es su horario de acceso al servicio de Internet?
Respuesta: ____________________________________________________
7. ¿Cuáles son seguridades de la credencial de acceso del personal?
Respuesta: ____________________________________________________
8. ¿Cuál es su principal función dentro de la Dirección?
Respuesta: ____________________________________________________
9. ¿Cuál es la actividad que más repite durante su jornada de trabajo?
Respuesta: ____________________________________________________
10. ¿Considera relevante aplicar políticas de seguridad de información en la
Dirección?
Respuesta: ____________________________________________________
Firma del Encuestado
Firma de Revisión
Fecha de Revisión:
Los Formularios de Aplicabilidad de Seguridad de la Información pueden variar
dependiendo de área al cual sea aplicado. Además, los formularios deben ser
actualizados al inicio de cada año. Esta responsabilidad es del Director y los Jefes
de Área.
Anexo 3: Registro de Inconformidades.
REGISTRO DE INCONFOMIDADES
EN EL FORMULARIO DE APLICABILIDAD
DE POLÍTICAS DE SEGURIDAD
FECHA: ___________________________________
EMPLEADO ÁREA DE
TRABAJO
OBSERVACIÓN ACCIÓN
(Nombre de Empleado
de la
observación)
(Área de Trabajo
del
Empleado)
(Observación reflejada en el formulario
aplicado)
(Capacitación o Reunión de Revisión
de Políticas de
Seguridad)
Firma de Elaboración
Fecha de Revisión (Dirección):
En el registro de inconformidades se guarda algunas observaciones y acciones a
tomar, dependiendo de los reflejados en los formularios. Debe ser enviado al
Director por Jefe del Área.
Anexo 4: Plan de Verificación de Aplicabilidad de Seguridades
PLAN DE VERIFICACIÓN DE APLICABILIDAD
DE POLÍTICAS DE SEGURIDAD
FECHA DE PLANIFICACIÓN: ______________________________
PERÍODO : ______________________________
FECHA DE APLICACIÓN
ÁREA DE TRABAJO
CAUSA DE LA
APLICACIÓN
FORMULARIO A APLICAR
LUGAR DE APLICACIÓN
SUPERVISOR JUSTIFICACIÓN DE
INCUMPLIMIENTO
OBSERVACIONES
(Fecha
planeada para
aplicación de verificación
de
aplicabilidad)
(Área
planeada para la fecha)
(Razón de la
aplicación planeada)
(Formulario a
Implementar)
(Lugar de
aplicación de la
verificación)
(Nombre del
Jefe que supervisara la aplicación
de la verificación)
(Razones de
incumplimiento de la verificación
planificada)
(Posibles notas
agregadas a la verificación planeada)
Firma de Elaboración
Firma de Aprobación
Fecha de Aprobación:
Anexo5: Formulario de Control de Asistencia de Verificación de Aplicabilidad
REGISTRO DE ASISTENCIA DE
VERIFICACIÓN DE APLICABILIDAD DE POLÍTICAS DE SEGURIDAD
FECHA DE VERIFICACIÓN: ______________________________
FORMULARIO APLICADO: ______________________________
LUGAR DE APLICACIÓN : ______________________________
SUPERVISOR : ______________________________
EMPLEADO HORA DE
ENTRADA
FIRMA HORA DE
SALIDA
FIRMA
(Nombre del
empleado que realiza el formulario
de verificación)
(Hora que
ingresa a la verificación)
(Firma de
constancia de la entrada del
empleado)
(Hora que
egresa a la verificación)
(Firma de
constancia de la salida del empleado)
Firma de Supervisión
Firma de Revisión
Fecha de Revisión:
Anexo 6: Formulario de Control de Asistencia a Capacitación
REGISTRO DE ASISTENCIA DE
CAPACITACIÓN DE SEGURIDAD DE INFORMACIÓN
FECHA DE CAPACITACIÓN: ______________________________
LUGAR DE CAPACITACIÓN: ______________________________
CAPACITADOR : ______________________________
TEMA : ______________________________
EMPLEADO HORA DE
ENTRADA
FIRMA HORA DE
SALIDA
FIRMA
(Nombre del
empleado que se está capacitando)
(Hora que
ingresa a la capacitación)
(Firma de
constancia de la entrada del empleado)
(Hora que
egresa a la capacitación)
(Firma de
constancia de la salida del empleado)
Firma de Supervisión
Firma de Revisión
Fecha de Revisión:
Anexo 7: Formulario de Infracción de Políticas de Seguridad.
FORMULARIO DE REGISTRO
DE INFRACCIONES O VIOLACIONES DE POLÍTICAS DE SEGURIDAD
ELABORADO POR: ___________________________________
FECHA EMPLEADO ÁREA DE TRABAJO
INFRACCIÓN SITUACIÓN ACCIÓN
(Fecha de realiza la
infracción)
(Nombre de Empleado
que comete la
infracción)
(Área de Trabajo
del Empleado)
(Infracción incurrida)
(Detalle de la
situación de la
infracción)
(Procedimiento Disciplinario a
aplicar por motivo de la infracción)
Firma de Elaboración
Fecha de Revisión (Dirección):
En el Registro de Infracciones o Violaciones de Políticas de Seguridad se guarda
los detalles correspondientes a situaciones que quebrantan los procedimientos de
seguridad de información que se encuentran implementados en la empresa y los
procedimientos disciplinarios a aplicar por los mismos. Debe ser enviado al
Director por la Jefe del Área.
Anexo 8: Seguimiento de la Aplicación de los Procedimientos Disciplinarios
FORMULARIO DE SEGUIMIENTO
DE PROCEDIMIENTOS DISCIPLINARIOS
SUPERVISADO POR: ___________________________________
FECHA EMPLEADO ÁREA DE TRABAJO
GESTOR ACCIÓN DE SEGUIMIENTO
(Fecha de seguimiento)
(Nombre de Empleado
que comete la
infracción)
(Área de Trabajo
del Empleado)
(Persona que aplica el
procedimiento disciplinario)
(Situaciones que permiten aplicar el
procedimiento disciplinario)
Firma de Elaboración
Fecha de Revisión (Dirección):
En caso de que la infracción incurrida sea Extorsión o alguna otra que necesite
separación del empleo, también debe registrarse en el formulario de seguimiento.
Anexo 9:
MODELO “DECLARACIÓN DE ACEPTACIÓN CARGO OFICIAL DE
SEGURIDAD INFORMATICA”
Fecha: __/__/__
El que suscribe
………………………………………………………………………………………
…………………………….(Nombre del funcionario asignado a este cargo)
con C.I.#.................................................................. declara aceptar el
nombramiento de OFICIAL DE SEGURIDAD INFORMATICA de la
Dirección de Tecnología del Ministerio del Interior, acepta conocer todos
los términos, condiciones, atribuciones y obligaciones que se encuentran
detallados en la Política de Seguridad de la Información.
_________________________________________
NOMBRE DEL FUNCIONARIO ASIGNADO
Aclaraciones:
______________________________________________________